簡要分析

“破壞式欺騙勒索”

經(jīng)分析發(fā)現(xiàn)，黑客主要利用 Redis 未授權(quán)等安全漏洞入侵服務(wù)器，然后粗暴的刪除服務(wù)器上的文件，再修改 /etc/motd 留下勒索信息。

這是首次云上發(fā)現(xiàn) Linux 比特幣勒索，相對比 Windows 環(huán)境下的通過勒索軟件進行文件加密勒索的行為，Linux 下的勒索方式則顯得更為粗暴，采用直接刪除文件而非加密文件的方式，整個勒索更多的偏向于欺詐，我們稱其為”破壞式欺騙勒索”，實際可能即使按照勒索要求轉(zhuǎn)賬比特幣也無法找回文件。同時這樣的手段也使得無需針對性的編寫勒索軟件，實施的成本更低;但對用戶而言，傷害更高，如果沒有及時對數(shù)據(jù)文件進行備份，被刪除的數(shù)據(jù)文件可能無法找回，只能請第三方數(shù)據(jù)恢復(fù)公司幫忙進行恢復(fù)。

安全建議

建議用戶加強主機安全防范，防范此類事件中招而導(dǎo)致數(shù)據(jù)丟失等問題，具體可參考以下方式：

1、及時備份服務(wù)器上的數(shù)據(jù)，比如采用騰訊云提供的快照功能，對服務(wù)器進行快照，方便即使服務(wù)器被入侵后也可以通過快照快速恢復(fù)數(shù)據(jù)和業(yè)務(wù);

2、排查機器上的服務(wù)安全，特別是一些外網(wǎng)可以訪問的服務(wù)，避免導(dǎo)致如 Redis 未授權(quán)訪問導(dǎo)致服務(wù)器被入侵的問題;

3、對服務(wù)器添加安全組，進行訪問限制，關(guān)閉非白名單 IP 的訪問;如果條件允許，建議修改默認的遠程訪問端口，如22修改為2212等，避免可能的暴力破解問題;

4、除以上羅列之外，更便捷的方式是采用騰訊云安全產(chǎn)品進行安全問題的發(fā)現(xiàn)與防護：

a) 開通云鏡專業(yè)版，及時發(fā)現(xiàn)服務(wù)器上的安全漏洞，同時能夠第一時間獲知服務(wù)器入侵事件進行響應(yīng);

b) 針對 Web 應(yīng)用漏洞的防護可以選購騰訊云網(wǎng)站管家，針對 Web 漏洞利用和攻擊進行防護，避免由 Web 漏洞導(dǎo)致的入侵事件;

c) 可以選購專家服務(wù)，對業(yè)務(wù)進行安全測試，提前通過安全專家發(fā)現(xiàn)安全問題，也可以通過在事件發(fā)生時尋求安全專家的協(xié)助。

騰訊云安全團隊

2018年04月16日

songjy